AWS Security Basics - Secure Directory Services

디렉터리 서비스란?

관리자가 자신의 환경을 논리적, 계층적으로 구성, 관리, 제어 및 액세스할 수 있도록 하는 시스템 소프트웨어이며,

객체에 대한 정보를 객체 유형 및 속성별로 쿼리하고 관리할 수 있는 중앙 집중식 보안 데이터베이스 역할을 함

온프레미스 환경에 대한 리소스 관리 및 거버넌스를 중앙 집중화하는 데 탁월함

→ 다른 시스템/프로그램 작동을 위한 밑바탕이 되곤 함

 

내부 사용자, 그룹 및 정책을 통해 디렉터리의 개체에 대한 액세스 및 권한을 관리함

→서버, 스토리지 및 네트워크 리소스에 대한 보안 액세스를 제공함

 

 도메인의 ID를 인증 및 승인하고 이를 보호하는 중앙 위치를 제공함

→관리를 단순화하고 추가 보안 계층 ​​및 문제를 제공함

---

 

AWS 디렉터리 서비스는 특정 상황 및 환경에 따라 여러 디렉터리 서비스를 제공함

 

1. Microsoft Active Directory
   • Windows 환경 내 네트워크 리소스의 인증/권한 부여 및 관리를 중앙 집중화하는 디렉터리 서비스
2. Simple AD
   • 클라우드 내 디렉토리 설정 및 관리를 단순화하는 microsft Active Directory 호환 디렉토리 서비스
3. Use Pools
   • 애플리케이션에 대한 사용자 가입, 로그인 및 액세스 제어 기능을 제공하는 완전 관리형 사용자 디렉터리 서비스
4. Cloud Directory
   • 클라우드에서 계층적 데이터를 구성하고 관리하기 위한 사용자 정의 디렉터리 스키마를 생성할 수 있는
     유연하고 확장 가능한 클라우드 네이티브 디렉터리 서비스

Microsoft Active Directory와 Simple AD는 주로 기계를 다루기 위해,

Use Pools와 Cloud Directory는 웹과 애플리케이션을 다루기 위해 주로 사용됨 

 

Microsoft AD Service

관리자가 이를 생성하기 위해선 두 가지 방법이 있음

1. 지원되는 Windows 서버의 EC2 인스턴스를 생성하고 AD 서비스를 수동으로 생성
2. AWS 디렉터리 서비스를 사용하여 Microsoft AD 서비스를 자동으로 생성

 

Using AWS Directory Service

AWS Directory Service를 사용할 때, 아래의 방법에 따라 관리가 단순화될 수 있음

• 가용성을 높이기 위해 다른 두 개의 가용성 집합에 인스턴스들 생성
• 소프트웨어 설치 및 기본 구성 수행
• 소프트웨어 및 OS 업데이트 및 유지 보수
• Directory Service 서버를 사용할 수 없을 때 관리자가 알 수 있도록 경고 설정
• 스냅샷 생성 및 모든 서버 저장 및 복원

Microsoft AD 디렉터리 서비스의 경우,

AWS Directory Service는 포털에서 고급 설정에 액세스할 수 있도록 하고 주요 입력을 요청함으로써 단순화함

 

→ 관리자가 Microsoft AD 툴 및 아키텍처에 대한 이해의 필요성을 없애줌

 

 

Creating AWS Managed Microsoft AD Directory

 

1. VPC 구성(생성)
   • 서로 다른 가용성 집합에 두 개의 서브넷들 생성
2. DS 생성
   • VPC를 업데이트하여 EC2 인스턴스용 DNS 서버를 설정하여 등록 프로세스를 지원할 수 있음 
   • domain name, Use Previous subnets....
3. EC2 인스턴스 생성 
   • 관리자는 DS 생성에 사용된 것과 동일한 서브넷 또는 DS 서브넷에 대한 네트워크 연결이 있는 다른 VPC/서브넷에 생성 가능함
   • use Domain name / DS IPs ....
4. EC2 생성
   1. 컴퓨터 등 기계의 도메인 조인

 

Simplifying Domain Joining

시스템이 디렉토리 서비스와 네트워크 연결을 갖고 있다고 가정한다면,

시스템을 도메인에 가입시키는 것은 간단한 작업이 될 수 있음

-> 관리자가 도메인에 머신을 등록하면 됨

 

AWS는 아래의 프로세스들을 자동화하여 수행함 

1. 최소한의 권한으로 디렉터리에 서비스 계정을 생성 ( 컴퓨터를 도메인에 가입시키는 것만 허용 )
2. 서비스 계정 사용자 이름과 비밀번호를 포함하는 AWS Serect Manager에서 secret 생성
3. AWS Secret Manager 서비스에 AWS Secret에 대한 읽기 액세스 권한을 부여하는 IAM 정책 생성
4. IAM 정책을 포함하는 EC2 IAM 역할 생성

 

Securing Directory Services

Microsoft AD 및 Simple AD 디렉터리 서비스는 컴퓨터 네트워크 자원을 관리하고 중앙 집중화하는 데 핵심임

또한 관리는 디렉터리의 소프트웨어 수준에서 여러 레벨에 따라 수행됨

• Network Access 
  • 도메인에 가입된 서비스의 모든 컴퓨터는 서비스에 연결되어 있어야 하므로 서비스에 접근 가능한 포트를         
    제한함
  • 원격 콘솔 포트와 같이 서비스에 열려 있는 관리 포트를 허용하지 않고 보안 연결을 적용하여 보호 수행
• Privileged Users
  • DS에 IP 설정시 서비스에 액세스하고 구성할 수 있는 관리자가 생성되는데, 해당 관리자를 최소한의 권한으로 
    설정하여 비상시에만 사용하고 강력한 암호를 설정하여 보호 수행
• Policies
  • 관리자는 도메인의 사용자 및 컴퓨터에 적용되는 보안 기능을 자동화하여 보호 수행
• Trusted Networks
  • 다른 도메인 및 페더레이션 서비스와 신뢰 관계를 설정하여 보호 수행

Pros and Cons

 

장점

• 선택할 수 있는 다양한 디렉터리 서비스 유형을 제공하기 때문에 환경 내/외부의 시스템이나
  서비스를 관리하는 데 사용될 수 있음
  
  
• 관리자는 중앙에서 여러 리소스를 관리하여 시간을 절약하고 해당 리소스에 대한 액세스를 보호할 수 있음
  
  
• 적은 지식 요구로 관리자가 쉽게 세팅할 수 있고 리소스 관리를 중앙 집중화할 수 있으며 디렉터리 환경을
  동일하게 설정하기 쉬움

단점

• 여러 계층의 사용자 권한 액세스 정책 관리 및 모니터링과 같은 다양한 유형의 오버헤드 및 보안 위험 존재
  -> 다양한 서비스 유형이 있는데 그렇게 되면 각 유형에 대한 사용자 역할, 정책 관리 및 모니터링 등
      각 유형에 대한 유지 보수에 대한 어려움이 증가하며 잘못된 권한 설정 등 보안 위험으로까지 이어질 수 있음
• 디렉터리와 AWS 간에 신뢰와 액세스가 적용되는 경우 보안 문제가 AWS 리소스로 확장 가능
  -> Directory Service와 AWS를 통합하게 되면 간편히 사용할 수 있으나 조직의 DS가 해킹당하면
      AWS 리소스에도 접근 가능한 문제가 발생할 수 있음